domingo, 9 de abril de 2017

El funcionamiento de las ACL

Las ACLs son un mecanismo muy útil que ayuda a segmentar mucho mejor la red. Podemos jugar con ellas en el nivel de internet del modelo TCP/IP y, como he dicho, aporta una gran seguridad.


Como he dicho, esto te puede servir de utilidad y en estos días, me he puesto a profundizar sobre el tema y posiblemente sea mi próxima investigación que realice, ya que ando forzando con esto cada vez que puedo.


En la entrada de hoy, se jugará con el siguiente esquema de red que os pongo en la foto anterior, con las direcciones IP correspondientes. Solamente se jugará con las ACLs en el nivel de Internet, ya que además de ACLs, se podría jugar con VLANs y hacer una red mucho más segura, pero eso será para futuras entradas.


Si se intentase desde el PC1, situado en la red 10.0.0.0/8, realizar un ping hasta el equipo con dirección IP 20.0.0.1, vemos que no llega correctamente ya que aún no está configurado el enrutamiento de la red. Este será el primer paso.


Lo primero será configurar las dicrecciones IP de los routers que tenemos en el esquema. Realizándolo por comandos, no es muy complicado, aunque siemre tenemos el entorno gráfico, pero nosotros somos unos fucking informáticos.


A continuación, en cada router, estableceremos las rutas necesarias para que el sistema enrute correctamente, podríamos usar el protocolo RIP y que sea el sistema el que vaya aprendiendo solo, pero como somos informáticos, disfrutaremos con cada orden que realicemos.


Cuando terminemos, podremos comprobar si lo hemos enrutado todo correctamente, mirando las tablas de enrutamiento de cada router, los cuales conoceran cuál es el siguiente salto.



Si ahora tratamos de realizar un ping desde el PC1 hasta el equipo con IP 20.0.0.2, veremos que ahora sí que llega sin problemas.





A continuación, vamos a añadir a la red 10.0.0.0/8 un nuevo equipo al que le configuraremos su dirección IP.


Y vemos que desde este equipo que es el PC4 ya que en Packet Tracer, los equipos comienzan por el 0, también tiene conectividad con cualquier equipo de la red, en este caso con el que posee la IP 20.0.0.2.


A hora vamos con el Rock and Roll, ahora vamos con las Access List, con la ACL. Será importante tener en cuenta varias cosas:
  1. Decidir en qué equipo se va a crear la ACL
  2. Decidir por qué interfaz se prohibirá o permitirá.
  3. Decidir si es de entrada o de salida
  4. Tener en cuenta el orden ya que si pongo permitir a la red 10.0.0.0 y después prohibo al equipo 10.0.0.2, este equipo podrá comunicarse con la red en la que yo no quiero que se acceda, pues este equipo pertenece a la red que he permitido antes. Es decir, el orden en el que permitimos o prohibimos es importante.
Con esto, vamos a decidir irnos al último Router de la red, empezando por la izquierda y lo haremos por su interfaz de salida a la red 20.0.0.0/8. Lo que vamos a hacer será denegar la comunicación al equipo con IP 10.0.0.4 y permitir a la red 10.0.0.0/8, en su interfaz 1/0 de salida.


Así pues, nos quedaría nuestra ACL tal y como se vislumbra en la captura anterior. Decir que estas prohibiciones las podríamos realizar en cualquier router, por ejemplo, en el primero y en su interfaz de entrada, para parar al equipo 10.0.0.4 desde el primer momento y no al final. Esto ya queda en la elección de cada administrador de sistemas y redes.


Si ahora tratamos de hacer un ping desde el PC4 hasta la red 20.0.0.0/8, veos cuál es el datagrama que envía en un principio. Packet Tracer nos permite, desde el modo simulación, ver de una manera más gráfica lo que ocurre al hacer un ping, enviando un paquete ICMP.


Como era de esperar, en el router final y de salida, ocurre un fallo. Viendo el datagrama se ve fácilmente el error que ha ocurrido.


En nuestro CMD, nos aparece que, como esperábamos, no llega correctamente el ping, cuando antes de preparar la ACL, sí que llegaba sin problema. Conocer el tema de ACL es muy útil, y si además lo mezclamos con una buena configuración de VLANs, tendremos una red con una seguridad bastante alta y nuestros datos lo podrán agradecer.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...